SEC-W01-005.1-配置Windows系統(tǒng)安全評估——賬號(hào)管理、認(rèn)證授權(quán)

配置Windows系統(tǒng)安全評估2010年5月SEC-W01-005.1技術(shù)背景微軟視窗系統(tǒng)提供內(nèi)置系統(tǒng)工具，用于配置系統(tǒng)帳戶、身份驗(yàn)證和授權(quán)。原始系統(tǒng)包含各種默認(rèn)帳號(hào)和組概念，系統(tǒng)管理員可以根據(jù)安全要求對其進(jìn)行修改。此外，使用系統(tǒng)工具來限制各種帳戶的操作權(quán)限，可以有效地保證用戶不能超過他們的帳戶權(quán)限，并確保系統(tǒng)安全。收信人安全配置審計(jì)工具是一個(gè)自動(dòng)化工具，用戶可以檢查各種系統(tǒng)和設(shè)備的安全配置。它可以智能地識(shí)別各種安全設(shè)置，分析安全狀態(tài)，并提供各種配置審計(jì)分析報(bào)告。目前，它支持各種操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備。實(shí)驗(yàn)?zāi)康氖煜な瘴陌踩渲脤徲?jì)工具的安全檢查操作；修改系統(tǒng)賬號(hào)和賬號(hào)分組練習(xí)；配置安全策略以增加密碼復(fù)雜性和安全審核；調(diào)整帳戶權(quán)限；實(shí)驗(yàn)平臺(tái)客戶端：Windows 2000/XP/2003服務(wù)器：視窗操作系統(tǒng)實(shí)驗(yàn)工具安信安全配置審計(jì)工具實(shí)驗(yàn)要點(diǎn)在實(shí)驗(yàn)中，我們將通過配置檢查工具掌握Windows系統(tǒng)的安全性評估，并修改系統(tǒng)帳號(hào)、密碼、權(quán)限等操作。實(shí)驗(yàn)步驟指南實(shí)驗(yàn)準(zhǔn)備實(shí)驗(yàn)總結(jié)：我得到了Windows遠(yuǎn)程桌面客戶端工具mstsc壓縮包，并將其解壓縮。我得到了服務(wù)器操作系統(tǒng)管理員的管理員密碼。我得到了服務(wù)器的IP地址。安全配置審計(jì)工具安全檢查實(shí)驗(yàn)總結(jié)：使用受信任的安全配置審核工具檢查Windows操作系統(tǒng)的安全配置。1.運(yùn)行遠(yuǎn)程桌面客戶端程序mstsc.exe，輸入服務(wù)器的IP地址，然后單擊連接進(jìn)行連接，如圖1所示：(圖1)2.以管理員身份登錄到服務(wù)器桌面。注意服務(wù)器管理員用戶的登錄密碼是1234563.在遠(yuǎn)程桌面上，單擊桌面程序快捷圖標(biāo)：配置檢測器和wincollect，運(yùn)行可信安全配置審計(jì)工具和wincollect信息收集程序，如圖2所示。(圖2)4.在wincollect程序?qū)υ捒蛑休斎肴鐖D2所示的內(nèi)容，然后單擊確定收集系統(tǒng)信息。注意在運(yùn)行wincollect程序時(shí)，必須確?？尚虐踩渲脤徲?jì)工具程序也在運(yùn)行。5.收集完成后，彈出如圖3所示的對話框。單擊對話框中的開始上傳按鈕，完成收集和上傳。(圖3)6.在收信安全配置審計(jì)工具程序的主界面中，選擇資產(chǎn)管理列，點(diǎn)擊工具欄中的新建資產(chǎn)圖標(biāo)，打開新建資產(chǎn)-資產(chǎn)管理對話框，如圖4所示：(圖4)7.輸入相應(yīng)的內(nèi)容，如圖4所示，單擊確定添加資產(chǎn)，最后關(guān)閉對話框。8.在接收安全配置審計(jì)工具的主界面，雙擊資產(chǎn)管理框中的樹，在業(yè)務(wù)系統(tǒng)-技術(shù)部-窗口下找到新建的資產(chǎn)，如圖5所示：(圖5)9.在收信安全配置審核工具程序的主界面，選擇任務(wù)管理欄，點(diǎn)擊工具欄中的新建圖標(biāo)，新建一個(gè)任務(wù)，彈出新建任務(wù)-任務(wù)管理對話框，如圖6所示：(圖6)10.在圖6的對話框中，輸入如圖所示的內(nèi)容，在現(xiàn)有資產(chǎn)的窗口下雙擊先前生成的資產(chǎn)，確保任務(wù)資產(chǎn)的添加成功，點(diǎn)擊工具欄中的保存任務(wù)按鈕，完成任務(wù)創(chuàng)建。11.在如圖7所示的主界面的任務(wù)管理欄中，選擇之前創(chuàng)建的任務(wù)，點(diǎn)擊工具欄中的執(zhí)行按鈕，進(jìn)行安全配置審核。完成后，您可以查看操作系統(tǒng)的安全評分和各種配置狀態(tài)：(圖7)注意在最終安全檢查后獲得的規(guī)則信息列表中，紅色標(biāo)記表示安全配置中存在漏洞，需要注意。綠色標(biāo)記表示安全配置是合理的。在這個(gè)系統(tǒng)中，帳戶密碼和授權(quán)的配置規(guī)則3、4、6、35、36和37存在問題。帳戶配置實(shí)驗(yàn)總結(jié)：熟悉賬戶相關(guān)的安全配置操作。1.在遠(yuǎn)程桌面上，選擇控制面板-管理工具-計(jì)算機(jī)管理，在計(jì)算機(jī)管理程序中，選擇系統(tǒng)工具-本地用戶和組，如圖8所示。(圖8)2.在本地用戶和組下，可以根據(jù)系統(tǒng)要求設(shè)置不同的賬戶和賬戶組、管理員用戶、數(shù)據(jù)庫用戶、審計(jì)用戶和訪客用戶。以及刪除或鎖定與設(shè)備操作和維護(hù)等工作無關(guān)的帳戶。3.選擇來賓帳戶的屬性。在彈出的屬性對話框中，如圖9所示，選擇賬戶已被停用并應(yīng)用以完成安全要求-設(shè)備-WINDOWS-配置-3要求：(圖9)密碼配置實(shí)驗(yàn)總結(jié)：熟悉賬戶密碼相關(guān)的安全配置操作。1.在圖8的計(jì)算機(jī)管理程序中，選擇一個(gè)賬戶，從右鍵彈出菜單中選擇一個(gè)復(fù)雜度較高的密碼，并根據(jù)security-device-WINDOWS-configuration-4的要求進(jìn)行修改。2.選擇控制面板-管理工具-本地安全策略。在本地安全設(shè)置對話框中，選擇帳戶策略-密碼策略，如圖10所示。(圖10)3.啟動(dòng)密碼必須滿足復(fù)雜性要求，以滿足安全要求-設(shè)備-WINDOWS-配置-4檢測要求。4.在圖10的對話框中密碼的最長生存期設(shè)置為90天；(安全要求-設(shè)備-WINDOWS-配置-35)強(qiáng)制密碼歷史記錄記住5個(gè)密碼；(安全要求-設(shè)備-WINDOWS-配置-36)5.在帳戶鎖定策略中，將帳戶鎖定閾值設(shè)置為6次，如圖11所示：(安全要求-設(shè)備-WINDOWS-配置-37)(圖11)授權(quán)配置實(shí)驗(yàn)總結(jié)：熟悉與賬戶操作權(quán)限相關(guān)的安全配置操作。1.選擇控制面板-管理工具-本地安全策略，并在本地安全設(shè)置對話框中選擇本地策略-用戶權(quán)限分配，如圖12所示：(圖12)2.雙擊可從遠(yuǎn)程系統(tǒng)強(qiáng)制關(guān)機(jī)。彈出屬性對話框被設(shè)置為只包含管理員組，如圖13所示。(圖13)3.同樣，可以根據(jù)需要進(jìn)行修改：獲取文件或其他對象的所有權(quán)，并將